Opinión Info Opinión

Exige la participación de toda la organización, desde los ejecutivos y el consejo de administración hasta los empleados de planta

Resiliencia operativa: más que recuperación ante desastres

Ray Mills, director de Ventas en España para Semperis

06/02/2023

Para hacer frente a la proliferación de ciberdelitos y con su impacto en la actividad empresarial, numerosas organizaciones están actualizando sus planes de recuperación ante desastres para incluir la respuesta a los incidentes de ciberseguridad. Muchos de los procesos y directrices de los planes de recuperación ante desastres tradicionales apenas han cambiado en años e incluso, a veces, en décadas, lo que los hace demasiado obsoletos para enfrentarse a los ciberataques modernos. Y lo que es más importante, a nivel empresarial, la recuperación ante desastres es un solo aspecto de una disciplina más amplia: la resiliencia operativa.

Los planes de recuperación ante desastres se enfocan básicamente en eso –en la recuperación– mientras que la resiliencia operativa contempla un panorama más amplio: el ecosistema completo y lo que puede hacer para que su empresa se mantenga en funcionamiento durante los eventos disruptivos. Esto incluye el sistema de gobernanza vigente, el modo en que se gestiona la administración del riesgo operativo, los planes de continuidad operativa y la administración de los riesgos cibernéticos, de la información y de los proveedores externos.

Arreglar una cadena rota

Con este enfoque tan amplio, la resiliencia operativa exige la participación de toda su organización –desde los ejecutivos y el consejo de administración hasta los empleados de planta– y no es algo que se pueda dejar en manos de un solo departamento o equipo. La resiliencia debe estar presente en todo y llegar hasta los flujos de trabajo diarios.

Sin embargo, hay una realidad importante que muchos parecen olvidar: en la situación actual, no es solo la organización la que está amenazada a nivel interno. Sus proveedores, socios y vendedores también son un objetivo para los ciberdelincuentes. Si un proveedor importante se ve comprometido o queda fuera de servicio, la empresa también puede dejar de funcionar al mismo tiempo que él.

Ray Mills

Ray Mills.

Incorporar la 'operación' en la resiliencia operativa

El Departamento de Transporte de los Estados Unidos propuso una sanción de 1 millón de dólares contra Colonial Pipeline por 'fallos en la gestión del centro de control' en el ciberataque de 2021 que afectó el suministro de gas en la Costa Este estadounidense, una multa que se sumó a la pérdida de ingresos, derivada del propio ataque, que la compañía tuvo que afrontar. Según el gobierno, la empresa ignoró la resiliencia operativa: en lugar de planificar cómo gestionar y limitar el alcance de un incidente, la organización simplemente apagó sus redes de control de procesos en el momento en que el malware afectó a sus sistemas.

Este caso sirve para destacar que las organizaciones que, sobre todo, gestionan infraestructuras nacionales o servicios críticos deben pensar mucho más en la gestión de la continuidad de su actividad y en los controles de mitigación del riesgo. Esta manera de pensar empieza por conocer el propio perfil de riesgo y planificar adecuadamente cómo gestionarlo. Las organizaciones también tienen que comprobar qué pueden hacer por lo que respecta a apagar sus redes y garantizar que tienen la capacidad de cortar la conexión entre la tecnología informática (TI) y la tecnología operativa (TO), para que el malware no haga que todo se detenga por completo.

Tender un puente entre la TI y la TO

La tecnología que se encarga de hacer funcionar sistemas como gasoductos y refinerías es claramente distinta de la que se suele encontrar en un entorno típico de oficina. Los protocolos de red son diferentes, el ‘stack’ de seguridad es diferente y hay una mayor preocupación por las cuestiones de seguridad críticas. Sin embargo, el motivo por el que muchos esfuerzos de resiliencia operativa acaban fracasando tiene su raíz en la desconexión que hay entre la tecnología de la información (TI) y la tecnología operativa (TO). Esta desconexión tiene que cambiar y eso empieza por un cambio en la percepción.

Una parte del problema se debe a que lo cibernético se sigue viendo como algo especial. En muchas organizaciones, todo el mundo suele dar por hecho que el equipo de seguridad o el departamento de TI se encargan de un riesgo especial, por lo que nadie más tiene que preocuparse de ello. Por lo que hay desmitificar la ciberseguridad y darse cuenta que solo con una comprensión de la empresa y un control del riesgo adecuados se pueden implementar los mecanismos de resiliencia correctos. Al promover la colaboración entre departamentos, las empresas pueden determinar cómo facilitar la puesta en marcha de los controles y las estrategias en cada entorno.

El papel de Active Directory en el desarrollo de la resiliencia operativa

Active Directory (y Azure AD, en los entornos de identidad híbrida) ocupa un lugar central en la búsqueda de la resiliencia operativa. Mucha gente suele olvidar que la aplicación individual más importante entre dimensiones es el Active Directory y que, sin él, no se puede alcanzar ninguno de los objetivos de una empresa. Active Directory es un elemento esencial para que una empresa pueda funcionar y tiene que formar parte de una estrategia de resiliencia operativa, en lugar de ser tratado de manera aislada.

El sistema de identidad de la organización es crucial para mantener las operaciones en funcionamiento —y es el objetivo prioritario de los ciberataques—, por lo que es de vital importancia protegerlo. Al priorizar la defensa del sistema de identidad, las organizaciones pueden abordar una de las amenazas más graves para la resiliencia operativa.

Comentarios al artículo/noticia

Nuevo comentario

Atención

Los comentarios son la opinión de los usuarios y no la del portal. No se admiten comentarios insultantes, racistas o contrarios a las leyes vigentes. No se publicarán comentarios que no tengan relación con la noticia/artículo, o que no cumplan con el Aviso legal y la Política de Protección de Datos.

Advertencias Legales e Información básica sobre Protección de Datos Personales:
Responsable del Tratamiento de sus datos Personales: Interempresas Media, S.L.U. Finalidades: Gestionar el contacto con Ud. Conservación: Conservaremos sus datos mientras dure la relación con Ud., seguidamente se guardarán, debidamente bloqueados. Derechos: Puede ejercer los derechos de acceso, rectificación, supresión y portabilidad y los de limitación u oposición al tratamiento, y contactar con el DPD por medio de lopd@interempresas.net. Si considera que el tratamiento no se ajusta a la normativa vigente, puede presentar una reclamación ante la AEPD.

Suscríbase a nuestra Newsletter - Ver ejemplo

Contraseña

Marcar todos

Autorizo el envío de newsletters y avisos informativos personalizados de interempresas.net

Autorizo el envío de comunicaciones de terceros vía interempresas.net

He leído y acepto el Aviso Legal y la Política de Protección de Datos

Responsable: Interempresas Media, S.L.U. Finalidades: Suscripción a nuestra(s) newsletter(s). Gestión de cuenta de usuario. Envío de emails relacionados con la misma o relativos a intereses similares o asociados.Conservación: mientras dure la relación con Ud., o mientras sea necesario para llevar a cabo las finalidades especificadasCesión: Los datos pueden cederse a otras empresas del grupo por motivos de gestión interna.Derechos: Acceso, rectificación, oposición, supresión, portabilidad, limitación del tratatamiento y decisiones automatizadas: contacte con nuestro DPD. Si considera que el tratamiento no se ajusta a la normativa vigente, puede presentar reclamación ante la AEPD. Más información: Política de Protección de Datos